FIDO2란?
FIDO2(Fast IDentity Online 2)는 사용자가 일반적인 기기를 활용하여 온라인 서비스에 인증하는 방식으로 비밀번호의 필요성을 없애고 온라인 인증의 복잡성을 줄이려는 개방형 인증 표준입니다. 이 접근 방식은 보안을 강화할 뿐만 아니라, 사용자가 복잡한 비밀번호를 기억하지 않고도 온라인 서비스와 애플리케이션을 이용할 수 있도록 지원하여 편의성을 향상시킵니다.
FIDO2 작동 방식
FIDO2 보안 메커니즘은 암호화 키 쌍(즉, 개인 키와 공개 키)을 생성하는 데 사용됩니다. 사용자와 웹사이트가 동일한 암호를 공유하는 비밀번호 기반 시스템과 달리, 개인 키는 사용자만 가지고 있습니다.
사용자는 웹사이트에 본인을 인증하기 위해 개인 키를 사용하여 서명된 메시지를 생성하며, 웹사이트는 등록 시 사용자로부터 받은 공개 키를 사용하여 이러한 서명을 검증합니다. 이 프로세스는 개인 키가 생성 또는 사용되기 전에 FIDO2 기기가 개인 식별 번호(PIN) 또는 생체 인식 검증 을 통해 사용자를 인증해야 한다는 요구 사항으로 더욱 안전하게 보호됩니다.
FIDO2의 핵심 요소
FIDO2는 안전한 패스워드리스 액세스를 제공하는 두 가지 주요 구성 요소로 이루어져 있습니다.
- 클라이언트-인증자 프로토콜 2(CTAP2)는 FIDO Alliance에서 개발한 표준으로, 기기(예: 스마트폰 또는 하드웨어 보안 키)가 서로 통신하고 인증자로 작동하는 데 사용됩니다.
- 월드 와이드 웹 컨소시엄(W3C)에서 만든 개방형 표준인 WebAuthn은 웹 브라우저와 인증자 간의 연결을 위해 웹 애플리케이션 전반에서 공개 키 암호화를 활용한 검증 작업을 지원합니다. 그 결과 웹에서 원활하고 안전한 인증 프로세스를 진행할 수 있습니다.
FIDO2 인증 옵션
FIDO2 표준에 따라 안전하고 사용자 친화적인 인증 프로세스를 지원하는 여러 기기 또는 소프트웨어 메커니즘이 있습니다. 이러한 인증자는 전통적인 비밀번호에 의존하지 않고 사용자의 아이덴티티를 검증하는 데 매우 중요한 역할을 합니다.
FIDO2 인증자는 여러 유형이 있으며, 각자 다양한 사용자 요구 사항과 선호도에 맞춘 다양한 검증 방법을 제공합니다.
생체 인식
개인의 고유한 신체적 특성(예: 지문, 음성 지문, 홍채)이나 행동 특성(예: 마우스 사용 방식, 걸음걸이, 타이핑 패턴)의 측정 및 통계적 분석입니다.
모바일
스마트폰이나 태블릿 같은 모바일 기기의 애플리케이션 또는 기능을 통해 푸시 알림, QR 코드 스캔, 기기 내 생체 인식, 보안 키 또는 인증 앱을 통한 고유 코드 생성이나 알림 승인 등의 메커니즘으로 인증을 수행할 수 있습니다.
플랫폼
Windows Hello 또는 Apple의 Touch ID 및 Face ID와 같이 기기에서 기본적으로 제공되는 기능을 통해 추가적인 외부 기기 없이도 애플리케이션과 웹사이트에 인증할 수 있습니다.
보안 키
실물 하드웨어 기기(예: USB 토큰)로, 고유하고 시간 제한이 있을 수 있는 코드를 생성하거나 암호화 키를 포함하여 사용자의 아이덴티티를 컴퓨터, 네트워크 및 온라인 서비스에 검증합니다.
FIDO2 인증자
FIDO2 인증자는 암호화 키를 사용하여 사용자의 아이덴티티를 검증합니다. 기기에서 고유한 FIDO2 패스키 세트를 생성하기 전에 인증자를 통해 사용자의 아이덴티티가 확인됩니다.
FIDO2 인증자에는 두 가지 유형이 있습니다.
- 로밍(크로스 플랫폼) 인증자는 사용자의 클라이언트 기기와 별개인 휴대용 하드웨어 기기입니다. 로밍 인증자에는 보안 키, 스마트폰, 태블릿, 웨어러블 기기뿐만 아니라, USB 프로토콜이나 근거리 무선 통신(NFC), Bluetooth 무선 기술을 통해 클라이언트 기기에 연결되는 기타 기기가 포함됩니다.
사용자는 FIDO 키를 연결하고 버튼을 누르거나 스마트폰의 지문 인식 같은 생체 인식 정보를 제공하는 방식으로 다양하게 자신의 아이덴티티를 검증할 수 있습니다. 로밍 인증자는 여러 컴퓨터에서 언제 어디서나 인증할 수 있도록 지원하기 때문에 크로스 플랫폼 인증자라고도 합니다. - 바인딩된(플랫폼) 인증자는 데스크톱, 노트북, 태블릿, 스마트폰 등 사용자의 클라이언트 기기에 내장되어 있으며, 패스키를 보호하기 위한 하드웨어 칩과 생체 인식 기능을 갖추고 있습니다.
플랫폼 인증자를 사용할 경우 사용자가 FIDO 지원 서비스에 클라이언트 기기로 로그인한 후 동일한 기기를 통해 인증해야 합니다.
FIDO Alliance란?
PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon, Agnitio에서 2013년에 설립한 FIDO Alliance는 온라인 보안을 위해 비밀번호에 대한 의존도를 줄이는 인증 표준을 개발하고 촉진하는 것을 목표로 하는 개방형 산업 협회입니다.
FIDO Alliance는 전 세계의 기업, 조직, 정부 기관을 대상으로 이러한 범용 표준 개발에 대한 협력을 촉구합니다. 여기에는 전 세계에서 가장 영향력 있는 기업과 조직이 일부 포함되어 있으며, 이들은 FIDO 표준을 제품과 서비스에 통합하기 위해 협력하고 있습니다.
FIDO Alliance는 활발한 활동을 통해 FIDO 범용 인증 프레임워크(UAF), FIDO 범용 2차 인증(U2F)뿐만 아니라 WebAuthn 및 클라이언트-인증자 프로토콜(CTAP)을 포함하는 FIDO2 등 여러 표준을 만들어 냈습니다. 이러한 표준은 생체 인식부터 하드웨어 토큰까지 다양한 인증 방법을 통해 패스워드리스 보안과 사용 편의성을 제공하기 위해 마련되었습니다.
FIDO2의 장점
- 보안 강화
FIDO2 인증자는 암호화 키와 생체 인식을 사용하여 피싱, 중간자 공격, 비밀번호 도용의 위험을 크게 줄입니다. - 상호 운용성
FIDO2는 다양한 기기와 플랫폼에서 지원되므로, 사용자가 서로 다른 서비스에서 선호하는 인증 방법을 선택할 수 있습니다. - 피싱 방지
설계상 FIDO2 인증 메커니즘은 피싱 공격에 강합니다. 인증 요청이 도메인별로 이루어지기 때문에, 자격 증명이 합법적인 사이트로 가장한 사기 사이트에서 사용되도록 속이는 것이 불가능합니다. - 개인정보보호
생체 인식 데이터가 사용되는 경우, 해당 데이터는 사용자의 기기에서 로컬로 처리되며 서비스 공급자와 공유되지 않습니다. - 조직의 비용 절감
FIDO2를 도입한 조직은 비밀번호 재설정, 지원 요청, 보안 침해와 관련된 비용을 줄일 수 있습니다. - 사용자 편의성
FIDO2 인증 방법은 비밀번호를 기억하고 입력하는 것보다 훨씬 사용자 친화적인 방식으로 설계되었으며, 한 번의 터치나 얼굴 인식만으로 인증할 수 있는 경우가 많습니다.
FIDO U2F
FIDO2와 FIDO U2F는 모두 FIDO Alliance에서 개발한 표준으로, 더 강력한 인증 방법을 통해 온라인 보안을 강화하는 데 도움이 됩니다. 두 표준 모두 비밀번호에 대한 의존도를 줄이는 것을 목표로 하지만, 범위와 기능 면에서 서로 다릅니다.
FIDO U2F | FIDO2 |
|---|---|
웹사이트가 전통적인 비밀번호 기반 로그인을 강력한 2단계 인증으로 보완하는 데 활용됩니다. | FIDO U2F의 확장 버전으로, 사용자가 전통적인 실물 보안 키 외에도 다양한 인증 방법을 사용할 수 있습니다. |
FIDO U2F와 비교했을 때 FIDO2가 더 뛰어난 이유
- FIDO2는 패스워드리스 인증과 생체 인식을 포함하여 U2F보다 더 폭넓은 인증 방법을 제공하므로 더 유연하고 사용자 친화적입니다.
- FIDO2는 U2F와 하위 호환되므로, U2F를 지원하는 기기와 서비스는 FIDO2도 지원할 수 있습니다.
- FIDO2는 더 광범위한 기기와 플랫폼에서 인증을 더욱 안전하고 편리하게 만들도록 설계되었습니다.
업계에서 주도하여 만든 FIDO2, 인증에 대한 새로운 접근 방식 제시
FIDO2는 다양한 업계 리더의 지원을 받으며 패스워드리스 인증에 대한 FIDO Alliance의 비전을 이어가고 있습니다. 전통적인 비밀번호 기반 인증을 대신하는 이 접근 방식은 이제 다양한 플랫폼과 브라우저에 통합되었고, 그 결과 비즈니스와 소비자 모두가 점점 더 쉽게 이용할 수 있게 되었습니다.
